Qué es seguridad de red: cómo proteger tus comunicaciones en el mundo digital
Escrito por Laura Barbosa
feb 4, 2021
La información de empresas grandes, pequeñas, e incluso la personal, viaja a través de redes de datos. Todos los días se comparten datos a través de diferentes aplicaciones o sistemas de información (¿acaso habrá alguien en este momento que no use alguna red social para comunicarse con su familia o amigos?)
Ya que la información viaja a través de las redes, es necesario estandarizar algunos controles de seguridad para protegerla. A continuación, te contamos conceptos básicos de las redes de datos, los objetivos y controles que deberías implementar de acuerdo al anexo A del estándar ISO 27001 para garantizar la seguridad de las mismas.
¿Qué es una red de datos?
Las redes de datos son infraestructuras que han sido creadas para transmitir información a través del intercambio de datos. Por ejemplo, los sitios web y plataformas sociales que permiten a los individuos vincularse o conectarse para compartir información.
Acompáñanos a explorar 2 grandes objetivos relacionados con la seguridad de red y transferencia de la información de acuerdo con la sección 13 del Anexo A de la ISO 27001.
1. Gestión de seguridad de red
¿Cómo asegurar la protección de la información en redes y la protección de la infraestructura de soporte?
La mayoría de las organizaciones, por no decir que todas, cuentan con redes internas o intranet, en las cuales se interconectan los dispositivos y los sistemas, y también son las encargadas de realizar las comunicaciones con sistemas externos.
La gestión de seguridad de las comunicaciones tiene como objetivo evitar el acceso no autorizado, los daños e interferencias a la información y a las instalaciones de procesamiento de información. Esto se lleva a cabo por medio de los siguientes controles:
Controles de red
La gestión de redes de comunicación implica la supervisión y control tanto de sus componentes físicos que la mantienen operativa, como de la transmisión de los datos que fluyen por ella. Elementos como routers, switches y otros equipos son fundamentales para conectar la red con el mundo exterior.
Para asegurar un funcionamiento seguro y eficiente, se deben seguir procedimientos definidos y asignar responsabilidades dentro del equipo de gestión.
Procesos esenciales:
- Monitoreo y registro:
El monitoreo constante y el registro de actividades en la red son vitales para prevenir y corregir incidencias. A través de un programa de supervisión, se busca detectar intrusos y resolver problemas como sobrecargas, fallas en servidores o deficiencias en la infraestructura.
- Control de acceso:
Según ISO 27001, este proceso otorga a usuarios autorizados el acceso a servicios e información, mientras excluye a quienes no están autorizados.
La red normalmente se subdivide en diferentes redes para no sobrecargar los dispositivos. Por ejemplo, en el caso de una universidad, están subdivididas para ser usadas de acuerdo con el rol que cumpla el usuario, (estudiantes, administrativos, docentes, etc.).
- Control de privilegios:
Este control asigna permisos a usuarios basados en su acceso, visualización y tareas permitidas. Estas conexiones se restringen según los privilegios otorgados por la empresa. La revisión periódica asegura que los privilegios se mantengan actualizados y se retiren cuando ya no sean necesarios, evitando accesos innecesarios.
Seguridad de los servicios de red
Para garantizar la seguridad en todos los aspectos de los servicios de red, ya sean internos o externos (proveedores, clientes, partes interesadas), es esencial identificar y detallar los mecanismos de seguridad, niveles de servicio y requisitos de gestión. Estos elementos deben estar claramente definidos en los acuerdos de servicio de la red.
Además de esta previsión, se deben realizar auditorías periódicas de los servicios de red. Estas auditorías proporcionan una visión integral de la disponibilidad de la red, asegurando su adecuado funcionamiento. Paralelamente, evaluar los riesgos asociados a estos servicios es fundamental. Esta evaluación permitirá un monitoreo constante, ya que la operatividad óptima de los sistemas de información está en juego.
Segmentación en redes
La seguridad de red no se trata solo de restringir el acceso, sino también de implementar una segmentación efectiva. Esta subdivisión es esencial para garantizar la integridad y confidencialidad de los datos. La segmentación en redes puede lograrse tanto de manera lógica, mediante códigos de red, como de forma física a través de dispositivos como routers.
La importancia de esta segmentación radica en su capacidad para prevenir la propagación de amenazas y limitar el acceso no autorizado. Al establecer zonas de red separadas, se minimiza el riesgo de que un ataque se propague por toda la infraestructura. Además, la segmentación facilita la aplicación de políticas de seguridad específicas para cada zona, mejorando la gestión de redes de comunicación en su conjunto.
2. Transferencia de información
En el mundo actual, donde la información fluye constantemente, protegerla durante su transferencia es crucial. Aquí exploraremos cómo implementar controles sólidos de seguridad de la información, tanto internos como externos en tu organización.
Políticas y procedimientos de intercambio de información
Antes de cualquier transferencia, considera diversos factores:
- Medios de transmisión
- Redes
- Soportes informáticos
- Soportes documentales
Ajusta las medidas de seguridad de la información según el remitente, el destinatario y los soportes. Además, considera implicaciones legales que podrían afectar la transferencia.
Por otro lado, establece políticas que aborden aspectos como copias, modificaciones, direcciones incorrectas y destrucción. Refuérzalas con políticas de uso aceptable, incluyendo pautas para manejar archivos adjuntos y emplear encriptación.
Acuerdos de intercambio de información.
La información viaja tanto física como digitalmente. Acuerdos claros entre las partes son esenciales para garantizar uso adecuado y protección. Estos acuerdos deben incluir:
- Responsabilidad de las partes de uso
- Protección y custodia de la información
- La trazabilidad de los datos
- Cumplimiento de normas técnicas y legales
- Requisitos de cifrado
- Responsabilidades en la cadena de custodia
- Controles de acceso de información
Acuerdos de confidencialidad y no divulgación
Acuerdos de confidencialidad deben ser conocidos por empleados, clientes y proveedores, en especial si involucran datos de terceros. Estos acuerdos, obligatorios para acceder a información, deben estar firmados antes de la transferencia y deben detallar:
- La naturaleza de la información
- La duración del acuerdo
- Los procedimientos de anulación
- Las responsabilidades y las propiedades
- El uso permitido de la información
- El derecho de auditoría
- Procedimientos tras incumplimientos.
- Cláusulas que obliguen a mantener el deber de secreto debe incluso más allá de la relación profesional entre las dos entidades
Mensajería electrónica
El correo electrónico es vital en las empresas, pero también es un vector para amenazas. Por ello, es indispensable aplicar los controles apropiados para mantener la confidencialidad, disponibilidad e integridad de toda la información que se maneja por estos medios.
Los controles que se deben aplicar a la mensajería electrónica son:
- Encriptar mensajes para evitar acceso no autorizado.
- Asegurar el correcto direccionamiento y transporte de los mensajes
- Mantener confiabilidad y disponibilidad del servicio
- Consideraciones legales (firmas digitales)
- Regular uso de servicios externos (redes sociales, compartición de archivos)
- Aplicar autenticación adicional desde redes sociales.
La seguridad de red no es solo una preocupación técnica, sino una responsabilidad integral de la organización. Los controles que hemos explorado en esta guía, en línea con los parámetros del Anexo A de la norma ISO 27001, ofrecen una hoja de ruta sólida para proteger datos sensibles y mantener la confidencialidad y disponibilidad.
Recuerda que estos controles, como los que rigen la transferencia, la autenticación y la confidencialidad, forman parte de un esfuerzo más amplio para garantizar la seguridad de la comunicación en la red de tu organización.
La tecnología, en este sentido, se convierte en un aliado invaluable. Herramientas como el módulo de Seguridad de la Información de kawak® brindan una plataforma robusta y completa para gestionar y fortalecer la seguridad de la red. Explóralo para determinar cómo tu sistema de gestión se beneficiaría de él.